Google alerte sur une menace émergente : des pages web malveillantes utilisent des injections de prompts indirectes pour détourner des agents d’intelligence artificielle en entreprise. Le principe repose sur l’insertion d’instructions cachées dans des contenus apparemment ordinaires, que l’agent ingère lorsqu’il parcourt le web pour produire une réponse.

Le signal d’alarme s’appuie sur l’observation d’une tendance préoccupante identifiée dans des milliards de pages publiques : des “pièges” numériques qui demeurent inactifs tant qu’un système d’IA ne traite pas le texte au-delà de son usage standard.

Des instructions cachées dans des pages “normales”

Dans un scénario d’injection directe, l’attaquant tente de manipuler le modèle en lui demandant explicitement d’ignorer ses consignes. Les équipes de sécurité ont appris à mieux filtrer ces tentatives. Le risque est différent avec l’injection indirecte : l’attaquant place la consigne malveillante dans une source que l’agent considère comme légitime, par exemple une page consultée pour collecter des informations.

Concrètement, des contenus peuvent être camouflés dans des blancs de mise en page, du texte invisible, ou dans des éléments du code HTML ou des métadonnées. Au moment où l’agent extrait le contenu pour l’analyser, il peut intégrer ces instructions comme s’il s’agissait d’un nouveau besoin à prioriser.

Le point critique est que le modèle ne dispose pas, par nature, d’un mécanisme fiable pour distinguer ce qui relève du contenu attendu et ce qui relève d’un ordre dissimulé. Pour l’IA, le texte s’enchaîne comme un flux cohérent, y compris lorsqu’il s’agit d’une directive malveillante.

Pourquoi la défense classique détecte mal l’attaque

Les systèmes de protection classiques (pare-feu, EDR, contrôles d’accès réseau) reposent souvent sur des signaux techniques : trafic suspect, signatures de logiciels malveillants, comportements anormaux du réseau ou de l’identité. Or, dans ce type d’attaque, l’agent agit en apparence “comme d’habitude”.

L’agent dispose de droits valides pour exécuter ses tâches autorisées : lire certaines bases, consulter des informations externes et produire des résultats. Lorsque la consigne injectée déclenche une action détournée, celle-ci peut ressembler à un enchaînement légitime, sans déclencher d’alerte évidente.

Autrement dit, l’abus se situe moins dans la connectivité que dans la qualité et la confiance accordées aux données ingérées par l’agent.

Limites de l’observabilité sans contrôle de l’intégrité

Les outils de suivi s’intéressent fréquemment à des indicateurs opérationnels : consommation de jetons, latence des réponses, disponibilité. Ces mesures aident à diagnostiquer des problèmes de performance, mais elles ne garantissent pas que les décisions de l’agent respectent l’intention initiale.

Quand l’agent se “décale” à cause de données empoisonnées, l’entreprise peut ne pas remarquer l’écart si aucun contrôle ne vérifie l’intégrité du raisonnement et la provenance des informations qui influencent la réponse.

Vers une gouvernance plus stricte des agents IA

Face à ce risque, l’approche la plus robuste consiste à réduire la surface d’exposition. Une piste discutée consiste à intégrer une étape de sanitisation avant toute analyse approfondie : un modèle restreint récupère la page, élimine les éléments potentiellement exploitables (formatage caché, instructions exfiltrables) et ne transmet au modèle principal qu’un contenu nettoyé.

Si cette brique de filtrage est compromise, ses droits limités doivent empêcher toute action dommageable. L’objectif est d’éviter qu’un contenu malveillant transforme directement un agent privilégié en vecteur d’exécution.

Autre levier : la segmentation des permissions. Un agent chargé de collecter des informations ne devrait pas détenir, par défaut, des capacités d’écriture dans les systèmes internes. L’accès doit être minimal et contextualisé, dans la logique du “principe du moindre privilège”.

Enfin, les entreprises ont besoin de traçabilité : pouvoir relier une recommandation ou une action aux données exactes qui l’ont influencée. Sans chaînage clair entre sources externes, fragments de contenu utilisés et décision finale, l’investigation devient difficile.

Dans l’environnement internet, qui reste hostile par conception, construire des agents capables d’y naviguer exige donc une gouvernance technique nouvelle : moins de confiance automatique dans les contenus ingérés, plus de contrôles en amont, et des garde-fous adaptés au “comportement” des systèmes IA.

Quelques pistes pratiques pour réduire le risque

• Mettre en place une étape de nettoyage des contenus web avant ingestion par le modèle principal, avec des droits strictement limités pour le composant de récupération.

• Limiter les privilèges des agents et séparer les rôles (lecture, écriture, exécution) pour empêcher qu’une action malveillante ressemble à une opération normale.

• Renforcer la traçabilité des décisions : conserver la provenance des informations et le contexte qui a conduit à la sortie.

Pour le durcissement opérationnel, certaines organisations s’appuient aussi sur des équipements et solutions réseau/gestion des journaux qui améliorent la visibilité des flux internes. Par exemple, un SIEM ou appliance de supervision adaptée peut aider à centraliser les événements, même si la détection de ce type d’attaque exige surtout des contrôles côté IA et données.

Côté formation et tests, un environnement de simulation est utile pour évaluer l’impact de contenus malveillants sur des agents. Un kit de laboratoire cybersécurité peut faciliter les exercices de validation interne, sans exposer des systèmes de production.